收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

轻量级分组密码算法分析与基于诱骗态的实用量子密钥分发协议

杨林  
【摘要】: 密码学是信息安全的基础,一方面人们希望利用密码算法来保护通信的安全;另一方面为了各种目的,人们又希望在未经当事人授权的情况下获取秘密信息。这两种不同的需求衍生出密码学领域的两个主要研究方向,密码设计学与密码分析学。它们之间互相影响互相促进,带动了整个密码学的发展。密码分析技术的进步,会发现已有算法中存在的漏洞,促使密码设计者提出新的设计方法,避免已经发现的问题,反过来,新的设计方法又促使密码分析者不断改进分析技术。 在本论文中,我们主要研究了轻量级分组算法的安全性分析技术。同时在量子密码理论研究方面,我们使用诱骗态的方法设计安全实用的量子密钥分发(QKD)协议。这两个方面的研究在当代密码学中都受到广泛的关注。 一.轻量级密码算法分析 轻量级分组密码仍然属于分组密码,与普通的分组密码相比,它的执行效率更高,消耗的计算资源更少,适合微型计算设备使用。20世纪90年代物联网概念兴起,无线射频技术和无线传感网络的应用深入到生活的方方面面,随之而来的安全问题成为重要的研究课题。因为物联网上使用的微型计算设备计算能力有限,所以很多轻量级分组密码算法应运而生,为物联网的安全保驾护航。轻量级分组密码算法在追求效率的同时还要保证安全性,对它的安全性评估就显得尤为重要,这是我们进行研究的初衷。 分组密码算法用相同的密钥进行加密和解密运算,属于对称密码算法。本质上,分组密码算法是一种有限的带密钥的置换,将固定长度的明文转换为相同长度的密文。分组密码算法主要有两种设计结构:一种是Feistel网络结构。该结构每次只有一半的分组进入F函数,因此实现时它占用硬件资源较少,适合在计算能力受到限制的环境中使用,代表算法为DES。DES是早期的分组加密标准,基于Feistel网络结构设计。20多年来它经历了各种攻击,对之后的密码算法产生了深远的影响。另一种是代替-置换网络(SPN)结构,该结构的最大优点是能够从理论上给出最低差分特征概率和最佳线性逼近优势的界,即该结构对差分分析和线性分析是可证明安全的,代表算法AES。AES基于SPN结构,分组长度为128比特,密钥长度可为128/192/256比特,是目前最流行的对称加密算法。 现在的轻量级分组密码算法大都受到DES和AES设计原理的影响。例如A. Bogdanov等人在CHES 2007上提出的轻量级分组算法PRESENT[5]。该算法共31轮,轮函数为代替-置换网络(SPN)结构。它的分组长度为64比特,密钥规模分为80比特和128比特两种,分别称为PRESENT-80和PRESENT-128.它借鉴了AES最终候选算法Serpent[7]的设计思路,与其它轻量级的分组算法相比,它的硬件执行效率更高,是轻量级分组算法中的佼佼者,受到人们的关注。轻量级分组密码算法MIBS是M. Izadi等人在CANS 2009上首次提出。该算法针对RFID标签设计,因此它的硬件资源使用很少,适合在计算资源受到限制的环境下使用。MIBS算法使用了Feistel的算法结构,共有32轮迭代运算,其分组长度为64比特,密钥长度为64比特和80比特。 鉴于轻量级分组算法的使用环境计算资源较少,这一类型的算法力求寻找安全性与执行效率的最佳平衡点。然而当算法的执行效率提高时,算法的安全性就必然受到影响。在导师展涛教授和王小云教授的悉心指导下,我们对轻量级分组密码算法PRESENT和MIBS的安全性进行评估。 主要研究成果如下: ·分组密码算法PRESENT的侧信道立方攻击我们利用侧信道攻击(Side Channel attack)和立方攻击(Cube At-tack)相结合的思想对PRESENT进行了分析。分析过程中,只需要一个比特位置的信息,就可以恢复PRESENT全部密钥。首先利用立方测试技术(Cube Test)对最初若干轮的PRESENT进行了测试,发现了PRESENT算法的非随机性质。并在此基础上利用侧信道攻击获得一个比特位置的信息,可以恢复出PRESENT-80的全部密钥。根据我们的分析只要得到第3轮的中间变量的任一比特的信息就可以恢复密钥。特别是得到比特位置1,2,3的信息,恢复80比特的密钥只需要215次选择明文,232次PRESENT全算法加密即可。 对于密码算法,任意输出比特可以看成明文和密钥的多元表达式。而在通常情况下,这些多元表达式非常复杂我们无法从中获得密钥信息。对于低次的多元表达式,立方攻击可以从中提取密钥的相关方程,从而恢复密钥。对于PRESENT算法,我们利用其自身性质,来寻找立方攻击所需的极大项和极大项等式,从而建立线性方程组恢复密钥。而非利用原始立方攻击中提出的随机游走的方法来寻找随机多项式的极大项。以下是对分析有利的两个性质。 一分组算法PRESENT的64比特明文变量和80比特密钥变量在第3轮之后首次混合在中间变量的一个比特的多项式中。 -PRESENT的前3轮迭代运算中,其中间变量多项式的明文比特经过S盒变换不会出现抵消现象。 根据上述性质,使用约减多项式对迭代函数寻找极大项和极大项等式。换言之,迭代函数的输出变量可以看做是输入变量和本轮子密钥的多元多项式,立方攻击主要关注的项是只含有一个密钥变量,其它均为明文变量的项。这样我们每轮只保留含有一个密钥变量的项和全是明文变量的项,从而控制了迭代过程中多项式的规模,同时得到仍然具有生成多项式的部分性质的约减多项式,进而完成我们的攻击。 ·约减轮MIBS的差分分析 M. Izadi在提出MIBS算法时,也对其安全性进行了简单的评估。评估中声称64比特的MIBS即能提供足够的安全性,且执行效率高。M. Izadi认为MIBS算法4轮差分特征的最高成功概率为2-15。通过对其S盒的输入输出差分分布的分析,我们发现实际上MIBS 4轮差分特征的概率为2-12。 我们找到了4个12轮的差分特征,并利用其中的3个差分特征恢复约减轮MIBS的密钥。对于我们的攻击,通过261.6对选择明文,恢复全部64比特的密钥,只需要建立216字节的计数器表,时间复杂度为225次加密运算,成功的概率是0.99。 二.基于诱骗态的实用量子密钥分发协议 密码设计始终是密码学家关注的焦点,新兴量子密钥分发协议为密码设计提供了新的途径,而它在理论上可证明是无条件安全的,更使得它成为密码设计的研究热点。量子密钥分发方案基于量子物理的基本原理,测不准原理。即使窃听者拥有量子计算机,量子密钥分发系统仍然可以产生安全的通信密钥。在产生密钥的过程中毋需量子计算机,甚至毋需量子存储器,唯一需要的仅是量子态制备,传送与测量。然而量子密钥分发系统的实验条件还无法达到理论要求,从而影响了量子密钥分发方案的实际安全性。我们的目的就是在现有技术条件下,提供实用化的理论,建立安全实用的量子密钥分发方案。 1984年C. Bennett和G. Brassard提出了影响深远的BB84量子密钥分发方案。通信双方Alice和Bob利用不同量子态代表经典2进制码(bit)。Alice通过量子通信信道发射不同制备基下的量子态,Bob随机选择测量基进行测量。在公共经典信道中公开制备基和测量基,Bob丢弃使用错误测量基得到的测量结果。然后在剩余测量记录中,随机抽取一部分与Alice对照,检验误码率。若误码率太大,则放弃这次通信。对剩余数据(raw key)通过纠错(error correction),隐私放大(privacy amplification),提炼出最终密钥(final key)。 量子密钥分发协议严格的安全性证明最早由D. Mayers[12]于1996年给出,但是其证明非常复杂。1999年,P. Shor与J. Preskill[13]从纠缠态提纯出发给出了简化的证明。虽然已经证明BB84方案是无条件安全的,但是这并不意味着任何以该方案为基础的实验都是安全的。因为所进行的实验未必真正满足BB84安全性证明中所要求的前提条件,特别是单光子光源,现有实验只有非理想光源。Hwang [14]提出的诱骗态的方法(Decoy-state Method)。王向斌提出了实用的诱骗态方法,可以在没有单光子源的情况下,得到最终密钥。 我的合作导师王向斌教授提出了考虑在现实的量子密钥分发过程中光源误差和统计涨落的安全性的影响。在他的悉心指导下,我们得到了存在光源误差和统计涨落的诱骗态方案和计算最终成码率的关键公式。这是国际上唯一的考虑光源误差和统计涨落的安全量子密钥分发理论。 以下为我们的主要研究成果。 ·存在光源误差和统计涨落的诱骗态量子密钥分发方案 量子密钥分发已经在理论上和实验上受到广泛的关注和深入的研究。尽管理论上,量子密钥分发方案是无条件安全的,但是因为实际实验条件无法达到,削弱了它在实际应用中的安全性。特别是量子密钥分发协议要求的理想单光子源,在实际中都是使用非理想光源在损耗信道中进行密钥分发。因此协议会受到光子数分离攻击。 幸运的是ILM-GLLP[17,18]证明如果我们知道原始接收比特中多光子计数的上界(或者说单光子计数的下界),那么我们仍然可以从中提取出安全的最终密钥。但是如何计算单光子计数的下界是困难的,王向斌提出的实用的诱骗态方法可以计算单光子计数的紧的下界。然后利用以下公式就可以计算最终成码率。其中t1是信号态光源中单光子计数的比特误码率,t是信号态光源中所有计数的误码率。△1'是信号态光源中单光子计数率的下界。 我们给出了△1'的计算公式,这是量子密钥分发最终成码率计算的关键。实际中△1'受到很多因素的影响,其中两个重要因素分别是光源误差和统计涨落。我们在[20]中提出了存在光源误差的情况下的诱骗态方案的通用理论。在本文中,我们不假设3态协议的真空态光源不存在误差,而是考虑所有光源都存在误差的情况,不需要增加更多设置,只要知道光源参数的阀值就可以计算最终成码率。光源误差通常被认为主要由光强涨落引起,我们的结果并不局限于光强涨落引起的误差。而且本文没有假设使用的态需要特殊的分布形式。我们利用确定偏差对统计涨落进行了估值。协议使用单向量子通信进行密钥分发。最后我们指出该方法也可以应用在即插即用协议中。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 傅明星;赵峰;路轶群;刘颂豪;;量子密钥分发网络应用技术研究进展[J];激光与光电子学进展;2007年10期
2 陈晖;曹云飞;李振邦;;量子保密通信发展趋势与对策探讨[J];信息安全与通信保密;2009年09期
3 周南润,曾贵华,朱甫臣;一次量子通信量子密钥分发和认证协议的安全性分析[J];上海交通大学学报;2005年09期
4 何云贤;李虎;陆鸢;彭进业;曾贵华;;连续变量量子密钥分发系统中调制器驱动设计[J];量子光学学报;2009年02期
5 陈晖;朱甫臣;;量子引领通信保密新方向[J];信息安全与通信保密;2009年08期
6 孙献平;单欣;罗军;詹明生;;自由空间量子密钥分发中的原子滤光[J];激光与光电子学进展;2009年02期
7 吴光,周春源,陈修亮,韩晓红,曾和平;长距离长期稳定的量子密钥分发系统[J];物理学报;2005年08期
8 马海强,李亚玲,赵环,吴令安;基于双偏振分束器的量子密钥分发系统[J];物理学报;2005年11期
9 樊矾;朱俊;陆鸢;朱甫臣;曾贵华;;通用量子密钥分发的同步控制电路[J];信息安全与通信保密;2009年11期
10 曹娅;;通过W类态的概率推广的控制有序重排编码协议[J];量子光学学报;2010年03期
11 任继刚;印娟;杨彬;周飞;易震环;彭承志;舒嵘;王建宇;;星地量子密钥分发中的时间同步研究[J];红外与毫米波学报;2011年04期
12 马海强,符东浩,冯凯峰,姚德成,吴令安;量子密钥分发实验中的符合测量方法[J];物理;2003年03期
13 秦素娟,温巧燕,朱甫臣;量子加密算法的研究[J];信息安全与通信保密;2005年07期
14 马海强;赵建领;吴令安;;一种相位编码、偏振检测的量子密钥分发系统[J];激光与光电子学进展;2008年02期
15 方俊彬;廖常俊;刘颂豪;;量子密钥分发系统中增益开关半导体激光器的时间抖动分析[J];河南师范大学学报(自然科学版);2008年03期
16 马文峰;曾贵华;;量子密钥分发中Cascade协议的一种改进方案[J];量子光学学报;2010年04期
17 刘玉,区慧铭,刘文予,王长强,杨俊涛;量子密钥分发网方案的改进设计[J];量子电子学报;2005年05期
18 陈光;吴张斌;杨伯君;;量子密钥分发网络结构及性能分析[J];光通信技术;2008年11期
19 潘建伟;陈增兵;彭承志;;应用诱骗态量子密码技术建立安全通信网络的实际应用测试[J];中国基础科学;2010年02期
20 王金东;秦晓娟;;高效量子密钥分发系统协议研究[J];科技创新导报;2010年16期
中国重要会议论文全文数据库 前10条
1 王旭阳;白增亮;杜鹏燕;李永民;彭堃墀;;30公里四态分离调制连续变量量子密钥分发[A];第十五届全国量子光学学术报告会报告摘要集[C];2012年
2 陈晖;刘瑶;;量子保密通信与信息安全[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
3 靳玮;郑力明;王发强;梁瑞生;;随机光纤色散对被动式量子密钥分发系统的影响[A];第十五届全国量子光学学术报告会报告摘要集[C];2012年
4 杨树;刘伟;;光纤量子密钥分发系统中量子密钥传输率和误码率的研究[A];第十三届全国量子光学学术报告会论文摘要集[C];2008年
5 郭邦红;路轶群;王发强;胡敏;廖常俊;刘颂豪;;单光子量子密钥匙分发系统时分相位跟踪与补偿技术应用[A];中国光学学会2006年学术大会论文摘要集[C];2006年
6 赵顾颢;赵尚弘;幺周石;蒙文;王翔;朱子行;刘丰;;副载波复用偏振编码的量子密钥分发[A];第十五届全国量子光学学术报告会报告摘要集[C];2012年
7 彭翔;郭弘;;量子密钥分发系统信源安全性研究[A];全国光电子与量子电子学技术大会论文集[C];2011年
8 廖常俊;郑力明;刘小宝;周鹏;唐志列;王发强;王金东;魏正军;赵峰;李日豪;郭健平;李水峰;郭邦红;胡敏;刘颂豪;;实际应用的量子保密通信系统提高效率的研究[A];全国第十二次光纤通信暨第十三届集成光学学术会议论文集[C];2005年
9 何敏;王衍波;朱勇;王荣;关宇;王晓;;基于QKD的“准一次一密”安全通信[A];全国光电子与量子电子学技术大会论文集[C];2011年
10 廖常俊;李日豪;魏正军;王金东;郭健平;刘颂豪;;用于量子保密通信的红外单光子探测器[A];全国第十二次光纤通信暨第十三届集成光学学术会议论文集[C];2005年
中国博士学位论文全文数据库 前10条
1 杨林;轻量级分组密码算法分析与基于诱骗态的实用量子密钥分发协议[D];山东大学;2010年
2 康国栋;基于多路径系统的量子密钥分发与量子信息传输[D];湖南师范大学;2011年
3 刘洋;远距离量子密钥分发系统的相关研究[D];中国科学技术大学;2012年
4 章涛;高速量子密钥分发系统电子学[D];中国科学技术大学;2010年
5 杜承航;分组密码算法ARIA的不可能差分分析和中间相遇攻击[D];山东大学;2011年
6 陈佳哲;几个分组密码算法的安全性分析[D];山东大学;2012年
7 孙悦;轻量级与非满射S-box的分组密码算法的分析[D];山东大学;2011年
8 韩宝彬;量子光纤信道和相关技术研究[D];西安电子科技大学;2010年
9 曹海静;量子通信的理论研究[D];大连理工大学;2007年
10 黄涛;量子密钥分发系统中的光子统计[D];山西大学;2006年
中国硕士学位论文全文数据库 前10条
1 李林霞;全光纤量子密钥分发系统稳定性分析及控制技术研究[D];北京邮电大学;2010年
2 高晶亮;量子密钥分发的研究与实现[D];西安电子科技大学;2011年
3 高原;量子密钥分发系统中若干电子学模块的设计[D];中国科学技术大学;2011年
4 沈建成;网络环境下量子密钥分发协议研究[D];解放军信息工程大学;2012年
5 万旭;量子密钥分发系统中数字控制模块的设计[D];中国科学技术大学;2010年
6 林建桂;相干态连续变量量子密钥分发理论研究[D];北京邮电大学;2010年
7 冯蔚;量子密钥分发验证系统的研究[D];电子科技大学;2010年
8 刁春波;基于纠缠相干态的量子密钥分发[D];延边大学;2010年
9 陈光;量子密钥分发在网络中的应用[D];北京邮电大学;2010年
10 王立;量子密钥分发系统的软件研究与实现[D];西安电子科技大学;2011年
中国重要报纸全文数据库 前10条
1 ;WAPI:全新实现WLAN安全[N];人民邮电;2003年
2 陈代寿;WLAN 还有三道坎[N];中国计算机报;2004年
3 广州 涟水;认识IP地址[N];电脑报;2003年
4 赵铭;WAPI借力安全叫板迅驰[N];中国高新技术产业导报;2003年
5 冯文;WLAN国标出台的背后[N];计算机世界;2003年
6 郭路;我国量子通信研究取得新进展[N];人民邮电;2009年
7 安武林;游戏的规则[N];中华读书报;2001年
8 晓苛;黑洞计算机[N];中国石油报;2006年
9 KRONE公司供稿;零误码率传输[N];计算机世界;2001年
10 常丽君;单电子识别器研制成功[N];科技日报;2010年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978